主题：【原创】闲扯一下RSA受贿事件 -- 晨池

RSA算法出来好几十年了，基本上是认可其安全性的。缺点就是密钥长度太长了。有人提到4k-bit的RSA，可以肯定，这么长的密钥，应用是非常受限的。智能卡的应用，目前也就只定义到不到2Kbit。如果非要求用4kbit RSA级别的安全，肯定会用其他算法了。比如国内pboc 3.0，就定义了256-bit的椭圆曲线。但是，对于密码用户来说，椭圆曲线还是太新了，其算法以及实现的安全性都有待证明。NSA的这个做法，就不得不让人怀疑，他们可能比别人对该椭圆曲线知道更多的东西。随机数是安全的核心功能，各种安全协议都会用到大量的随机数。如果NSA在随机数发生器里有后门的话，很可能其产生的随机数是夹杂里某些关键信息的。这些信息混杂在随机数里。外人看上去就是随机数，NSA却可以从中提取关键信息。这就非常可怕了。

DES让人诟病的主要原因是，其Sbox的代数结构从未公开，是直接给的几张查找表；AES则完全公开。当然，经过这么多年的分析，大家的确没有发现什么漏洞。主要就是对其56-bit的密钥长度有意见，也许NSA认为当时这么长的密钥只有NSA的机器能够暴力破解吧。

PS，另外一个类似的奇葩就是咱们中国的SM4算法，sbox也只给了查找表，没有给出其代数结构和设计原理。当然了，大家都知道sbox的设计依赖非线性的特性。有了AES的先例，拿某个gf(2^8)的逆运算为基础来设计sbox有优良的特性。有人就去猜SM4的sbox必然是某个gf(2^8)加上一些简单运算。经过一些穷举，把SM4 sbox的代数结构就找到。